Stuggi's questions

运行“sudo apt update”时出现以下错误：

user@gitlab:~$ sudo apt update
Hit:1 http://security.debian.org/debian-security stretch/updates InRelease
Ign:2 http://ftp.fi.debian.org/debian stretch InRelease
Hit:3 http://ftp.fi.debian.org/debian stretch-updates InRelease
Hit:4 http://ftp.fi.debian.org/debian stretch Release
Get:6 https://packages.gitlab.com/gitlab/gitlab-ee/debian stretch InRelease [23.3 kB]
Err:6 https://packages.gitlab.com/gitlab/gitlab-ee/debian stretch InRelease
  The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 3F01618A51312F3F
Fetched 23.3 kB in 2s (11.0 kB/s)
Reading package lists... Done
Building dependency tree
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: https://packages.gitlab.com/gitlab/gitlab-ee/debian stretch InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 3F01618A51312F3F
W: Failed to fetch https://packages.gitlab.com/gitlab/gitlab-ee/debian/dists/stretch/InRelease  The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 3F01618A51312F3F
W: Some index files failed to download. They have been ignored, or old ones used instead.

我有一个 Windows 服务器（Windows Server 2016 / 1607），它在 Web 浏览器方面存在特殊问题。

Google Chrome 和 Microsoft Edge Chrome 在启动时都会立即崩溃并分别显示Aw Snap/This Page is having a problem错误，即使我启动 about:chrome 页面也是如此。

另一方面，IE11 完美运行。

首先，我认为这是几个月前的 Chrome / Symantec 错误，但我已经在企业范围内实施了策略来解决该特定问题。

我尝试了以下方法：

• 重新安装最新版本的 Chrome
• 安装最新版本的 Edge Chrome
• 禁用 Symantec Endpoint Protection (SEP)
• 将 SEP 更新到 14.2.xxxx

背景故事：我有几个带 GPS 接收器的内部 startum 1 NTP 时钟，以及在 VMware ESXi 之上虚拟化的 2 个公共 NTP 服务器，它们从 S1 时钟中获取时间并分发它。否则，与其他公共服务器相比，此设置工作得相当好并且提供了良好的时间。

问题：当我重新启动虚拟机时，它们无法正确开始同步，并陷入不同步状态。下面是重启后的 ntpq -p 输出。

root@server:~$ ntpq -p
 remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 192.168.1.40    .GPS.            1 u   27   64    3    1.533  -258.43 5948.73
 192.168.2.40    .GPS.            1 u   24   64    3    1.118  -258.47 6138.19
 192.168.3.42    .GPS.            1 u   24   64    3    0.709  -258.42 5655.02
 194.100.49.151  194.100.49.134   2 u   22   64    3    8.124  -258.74 7131.65
 gbg1.ntp.se     .PPS.            1 u   26   64    3   21.856  -258.43 4876.90
 ntp2.sptime.se  .PPS.            1 u   23   64    3   19.991  -258.42 7764.97
 ntp1.sptime.se  .PPS.            1 u   27   64    3   20.489  -258.41 8574.46

如果我然后运行 ​​ntp service restart 我得到这个：

root@server:~$ ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 192.168.1.40    .GPS.            1 u    2   64    1    1.517  -258.45   0.065
 192.168.2.40    .GPS.            1 u    1   64    1    1.126  -258.46   0.025
 192.168.3.42    .GPS.            1 u    2   64    1    0.719  -258.42   0.020
 194.100.49.151  194.100.49.134   2 u    5   64    1    8.041  -258.72   0.000
 gbg1.ntp.se     .PPS.            1 u    6   64    1   21.839  -258.41   0.000
 ntp2.sptime.se  .PPS.            1 u    4   64    1   19.968  -258.41   0.000
 ntp1.sptime.se  .PPS.            1 u    3   64    1   20.418  -258.43   0.000

一秒钟后，它会执行以下步骤：

root@server:~$ ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 192.168.1.40    .STEP.          16 u    2   64    0    0.000    0.000   0.000
 192.168.2.40    .STEP.          16 u    2   64    0    0.000    0.000   0.000
 192.168.3.42    .STEP.          16 u    8   64    0    0.000    0.000   0.000
 194.100.49.151  194.100.49.134   2 u    -   64    1    7.976   -0.261   0.000
 gbg1.ntp.se     .PPS.            1 u    -   64    1   21.840    0.060   0.000
 ntp2.sptime.se  .STEP.          16 u    6   64    0    0.000    0.000   0.000
 ntp1.sptime.se  .STEP.          16 u    6   64    0    0.000    0.000   0.000

之后我们恢复正常操作：

root@server:~$ ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 192.168.1.40    .GPS.            1 u    1   64    1    1.474    0.044   0.017
*192.168.2.40    .GPS.            1 u    1   64    1    1.102    0.030   0.005
 192.168.3.42    .GPS.            1 u    1   64    1    0.674    0.049   0.009
 194.100.49.151  194.100.49.134   2 u    8   64    1    7.976   -0.261   0.000
 gbg1.ntp.se     .PPS.            1 u    8   64    1   21.840    0.060   0.000
 ntp2.sptime.se  .PPS.            1 u    6   64    1   19.979    0.059   0.000
 ntp1.sptime.se  .PPS.            1 u    5   64    1   20.440    0.048   0.000

因此，似乎在重新启动后系统时钟关闭了很多，这是可以预料的，但是为什么 ntpd 不会恐慌并且只是步进时钟对我来说有点难以理解。

这是我的 ntp.conf

tinker panic 0
# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
# pick a different set every time it starts up.  Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
server 192.168.1.40  iburst
server 192.168.2.40 iburst
server 192.168.3.42 iburst
server time1.mikes.fi
server ntp1.gbg.netnod.se
server ntp2.sptime.se
server ntp1.sptime.se

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details.  The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 192.168.123.0 mask 255.255.255.0 notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines.  Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

背景故事，我操作了几个公共的第 2 层 NTP 服务器，它们是 NTP 池的一部分。然后这些同步到内部层 1 NTP 时钟。

我遇到的问题是使用公共 NTP 服务器的客户端会看到第 1 层时钟的内部 IP。我宁愿在那里有其他东西，例如服务器的 DNS 名称。这是可能吗？

MySQL 存储库密钥突然又过期了，所以在 Ubuntu 中运行时出现 GPG 错误apt-get update

错误是W: GPG error: http://repo.mysql.com/apt/ubuntu xenial InRelease: The following signatures were invalid: KEYEXPIRED 1550412832 KEYEXPIRED 1550412832 KEYEXPIRED 1550412832

我在使用 Microsoft DNS 时遇到了这个特殊问题。

基本上，我们的 domain.com 是一个水平分割设置（外部公共 DNS 和内部 DNS 都对不同的区域具有权威性），不要问我为什么，当我来到这里时就是这样。

在这个 AD 中，我们有 3 个域控制器，用作内部区域的 DNS 服务器。最重要的是，我们有 2 个 DNS 服务器将查询转发到这些 AD 服务器，并缓存结果。

此外，我们还有另一个域 example.com，它仅在我们的外部公共 DNS 服务器中。

现在来解决问题；AD 服务器处理了名称 subdomain.example.com 的问题。返回“找不到域名”的查询，就像权威服务器在没有记录时所做的那样。但是，客户端的 DNS 转发器会解析查询。

外部一切正常，subdomain.example.com 解析为 www3.domain.com 的 CNAME

但是，问题不在于整个区域，而在于特定的子域。www.example.com 在内部和外部都解析为 www3.domain.com 的 CNAME。

那么，一个对区域不具有权威性的 DNS 服务器如何回复找不到记录呢？

作为一种解决方法，我为 subdomain.example.com 创建了一个新区域，并添加了一条与 www3.domain.com 相同的 A 记录。一个小时后，这个记录就消失了？

我接近放弃并成为山羊农民。:)

所以，我最近意识到，由于我的网络中有 3 个 GPS 时钟，从技术上讲，我可以回馈一点，为世界其他地方提供时间。到目前为止，我还没有看到这个想法有任何缺点，但我有以下问题；

1. 我可以虚拟化这个吗？我不会为此花费金钱和时间来建立硬件，因此虚拟化是必须的。由于服务器将可以访问三个第 1 层源，如果 ntpd 配置正确，我看不出这会是什么问题

2. 公共 NTP 服务器（pool.ntp.org 的一部分）通常会看到什么样的流量？我需要多大的虚拟机？据我所知，ntpd 不应该占用太多资源，但我宁愿事先知道。

3. 这有哪些安全方面？我正在考虑只在 DMZ 中的两个 VM 上安装 ntpd，只允许 ntp 通过 FW 进入，并且只允许 ntp 从 DMZ 输出到内部 ntp 服务器。似乎也有一些根据 NTP 池页面推荐的 ntp 设置，但它们是否足够？https://www.ntppool.org/join/configuration.html

4. 他们建议不要配置本地时钟驱动程序，这是否等同于从配置文件中删除本地时间源配置？

5. 还有什么要考虑的吗？